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METHODE DE TRANSMISSION D'lN FORMATIONS 

La presents demande concerne le domaine de la transmission 
d'informations dans un reseau d'appareils relies a un centre de diffusion 
et ne disposant pas de liaison de retour permanente. 

5 Dans un reseau de television a p6age, II est frequent de se trouver dans 
une situation dans laquelle les apparells des utilisateurs regolvent des 
signaux de contrdle de la part d'un centre de gestion, ces signaux 
permettant de g^rer la s^curite d'acces aux donn^es dlffus6es. 

Des mecanismes complexes ont et6 d^veloppes pour que de 
10 nombreuses fonctlons individuelles pulssent §tre accessibles sans la 
n§cessite d'une connexion vers un centre de gestion. 

Parmi ces mecanismes, Ton peut dter racers ^ des contenus a la 
demande gr§ce a la presence d'un credit a affecter librement sur 
I'evenements de son cholx. 

15 Par "contenu" on entend un service d'informations boursi^re, de m6teo, 
de television generaliste, d'un 6venement sportif ou autres. Ces 
contenus peuvent §tre diffuses sur des unites d'utilisateurs tels qu'un 
decodeur de television a peage, un ordlnateur voire un telephone 
portable, un "palm-top", un PDA, une radio, une television, une borne 

2u multimedia. 

Le flux numerique est chiffre afin de pouvoir en contrdler rutillsatlon et 
de definir des conditions pour une telle utilisation. Ce chiffrement est 
realise gr§ce a des mots de contrdle (Control Words) qui sont changes 
^ intervalle r^gulier (entre 5 et 30 secondes) afin de dissuader toute 
25 attaque visant a retrouver un tel mot de contrdle. 



uUTTfte d'utillsateur comprend un module de securite, generalement 
amovible, qui gere les operations de securite telles que la verification 
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des droits et le d6chiffrement des cl6s n§cessalres (mots de controle) 
au decodeur pour acc6der aux donnees transmlses. 

La comptabllisatlon de rutllisatlon de tels contenus est aujourd'hul 
bas6e sur le princIpe de rabonnement ou de I'achat d'evenement. 
L'abonnement permet de definir un droit associe ^ un ou des canaux de 
diffusion et permet a i'utilisateur d'obtenir ces canaux en claIr si le droit 
est present dans son unite de security. 

Parallelement. il est possible de definir des droits propres ^ un contenu. 
tel qu'un film ou un match de football. L'utlllsateur peut acquerlr ce droit 
10 (achat par exemple) et ce contenu sera sp6ciflquement g§r6 par ce 
droit. Cette m6thode est connue sous I'appellatlon achat Impulsif (pay- 
per-view PPV). 

Lors du decryptage des mots de contrdle. II sera v6rifl§ si un droit 
associe aux conditions d'acces est present dans le module de securlte. 

15 Le mot de contrdle est retourne en claIr a I'unlte d'utllisateur lorsque la 
comparaison est positive. 

Certaines unites d-utilisateurs disposent de vole de retour pour 
communiquer le choix de rutilisateur et ainsi acquerlr les droits propres 
i un choix particulier. Cette vole est generalement un modem connecte 
a une ligne telephonique ou a un reseau. Du fait de la reticence de 
certaines personnes pour toute forme de supervision sur la 
consommation reelle des contenus. le cable n'est tout simplement pas 
reli6 vers la prise tel6phonlque et la transmission des donnees vers le 
centre de gestlon ne s'effectue pas. 11 se peut que cette liaison ne se fait 
pas pour des ralsons pratiques car la prise telephonique est trop . 
elolgnee du poste de television. 

Lors de I'etablissement d'un module de securite pour un nouveau client, 
il est d'usage de lul attribuer un credit pour lul permettre de tester les 
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fonctionnalit^s de I'achat impulsif. Ce credit n'est pas facture au client 
car a priori, il ne sera peut etre jamais utilise. 

En fonctionnement normal, I'utilisateur achete un ou deux films avec ce 
credit et connecte son unite d'utilisateur pour le reciiarger. A ce 
5 moment, le centre de gestion etabli la facture pour les deux films 
consommes et recharge le module d'un montant convenu avec 
I'utilisateur. 

Tant que I'utilisateur ne connecte pas son unit^ a un r^seau, le centre 
de ^es^n ne peut facturer la consommatlon r^alisee sur ce credit 
10 initial. De ce fait, I'ensemble des credits non factures sur tous les 
modules de s^curit6 peut repr^senter des sommes tr^s importantes. 

Des mesures ont ete entreprises telles que la proposition de jeux pour 
inciter, par la distribution d'un prix, les utilisateurs a connecter leur unite. 

Le probleme se pose d'une manidre definitive lorsqu'un changement de 
15 module de s§curit§ est effectue, en general pour des raisons d'evolution 
tBChnoiogique. L'operateur est satisfait quand I'utilisateur precede dans 
les lei lips a cet echange et il est difficile d'obliger Tutilisateur a retourner 
son ancienne carte dans le but de lui facturer des prestations. De ce 
fait, les donnees comptables de rutilisation du credit contenues dans 
9P Tanclen module sont considerees comme perdues. 

but de la presente invention est de pouvoir recuperer les 
informations concernant Tutilisation du credit sur un module de sScurite 
«t<ie4!ransmettre ces informations a un centre de gestion. 

Ce but est atteint par une methode de stockage et de transmission 
25 d-inferrsiations gener6es par un premier module de securiie connects ^ 
w[\e iiniJe d'utilisateur, ce premier module de securite comprenant un 
^^^^zj^ unique et des informations representatives de son 
lO^i^-i^nnement, ce premier module pouvant etre remplace par un 



second module de s6curite, cette m^thode comprenant les' Stapes 
suivantes: 

- determination des Informations speclfiques contenues dans le premier 
module de securite destinees a la transmission, 

5 - transfert de ces Informations dans I'unite d'utlllsateur. 

- stockage de ces infomiatlons dans I'unite d'utilisateur. 

- remplacement du premier module de securite par le deuxi^me module 
de s6curlte, 
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■ connexion de I'unite d'utilisateur sur un reseau de transmission. 

• Initialisation d'une communication entre le second module de security 
et un centre de gestion, 

- insertion par I'unite d'utilisateur, d'un bloc de donnees dans les blocs 
transmis par le second module, ce bloc comprenant I'identlfiant du 
premier module et les informations sp^dfiques audit premier module. 

15 Cette methode permet de recuperer des donnees dans un premier 
module de security alors que la connexion avec le centre de gestion est 
realls6e gr§ce au second module de securite. 

L'echange de module de securite represente une opportunite de 
requerir cette connexion pour initialiser le nouveau module. 

20 Les informations sp6ciflques representent toutes les donn6es qui sont 
g6n6r6es localement et done ne sont pas connues par le centre de 
gestion. En plus des informations sur les achats Impulsifs. II existe 
plusleurs compteurs statistiques sur i'utilisation reeHe de I'unite 
d'utilisateur ou decodeur ainsi que des infomiations concernant les 

25 versions des fonctionnallt^s du module de security. 



p Lors de cette connexion, ie d6codeur va constituer un bioc de donn^es 
dont IWentificaUon sera diff^rente des autres blocs provenant du 
module de s6curit6. Un bloc est constitue d'un en-tSte comp,«nant le 

I num^ro unique du module de s6curit6 et des donn^es qui sont 
5 generalement enc^rpt^es par une cte. soit de transmission commune ^ 
tous les modules de s6curit6, soit per^onnelle c'est-S-dire propre ^ un 
module de s6cunt6. Cette cl# peut Stre de type sym6trique ou 
asymetrique. Le flux de donn6es comprend,^ done des blocs avec 
comme identiflant le nouveau module de s6cunt6 et un bloc avec 
10 comme identiflant i'ancien module de s6curit6. cecl transmis lors d-une 
meme session. 

invention sera mIeux comprise grSce i la description detailI6e qui va 
su.vre et qui se r^f^re aux dessins annexes qui sont donnes ^ titre 
dexemple nullement limitatif. d savoir: 

15 - la figure 1 illustre les dlff^rents elements de rinvention et 
- la figure 2 illustre le traitement des blocs de donn6es. 

Sur la figure 1. ,e d6codeur STB dispose d'une m6moi,^ non volatile 
M1. Cette m6molre va servir ^ stocker les donnSes provenant du 
module de s6curit6 SC actuellement connect*. Dans notre exemple le 
20 moduie de s6curit6 SC1 a et6 retir* du d^deur STB et remplac* par 
le nouveau module SC2. 

Selon le mode op6ratoi,e choisi, les donn6es propres au module de 
secunte sont export^es de la mSmoire du module de securite M2 vers 

"ZT^" """'"^ ' """"""^ ^''"^^ decodeur 
STB. Ce transfert pourra par exemple s'effectuer a cheque modification 
du contenu de la m^moire M2. ou ^ inten,alle r^gulier. voire sur 
comn-r^nde du centre de gestion. 




Associes ^ ces donnees, le module de securite adjoint un identifiant tel 
que le numero unique UA. Les donnees sont transmises du module de 
securite SC vers Tunite de traitement MC du decodeur. Cette unite gere 
la communication avec le centre de gestion et le stockage des donnees 
5 dans la memoire M1 . 

Les donnees stockees dans la memoire M1 peuvent dtre encrypt6es 
par une cle locale propre au decodeur. Ces donnees sont par exemple 
accompagnees par une signature calcul^e par le module de securite SC 
et authentifiant Tensemble des donnees. Ainsi, si eiles etaient modifiees 

10 dans le decodeur, le centre de gestion pourrait facilement detecter une 
telle modification. La signature utilise une cle asymetrique dont la partie 
correspondante est contenue dans le centre de gestion. L'identifiant 
unique permet de retrouver dans la memoire securisee du centre de 
gestion la cle pour dechiffrer la signature et verifier si les donnees 

15 regues sont correctes. 

Sur la figure 2 est iliustrS un exemple des blocs de donnees BCS 
transmis vers le centre de gestion. Lors de la connexion du decodeur au 
centre de gestion, I'unite de traitement MC demande les donnees au 
module de securite SC connecte et transmet les blocs BSC2 provenant 
20 du module SC2. Uunit6 de traitement MC va 6galement reprendre les 
donnees stockees dans la memoire M1 et dans notre cas qui vont 
correspondre aux donnees propres du pr^c^dent module de securite 
SC1 . Ces donnees sont transmises sous la forme du bloc BSC1 . 

Selon un mode de realisation, le centre de gestion CGS comprend un 
25 module de separation permettant de trier les blocs et les traiter de la 
manlere appropriee. En effet, le module d'entree est en principe 
configurer pour verifier gye chaoue bloc provient de la meme source et 
done comprend le meme Identifiant C'est pourquoi il est important de 
separer les blocs pour qu'ils puissent, en tout cas pour la partie des 




blocs BSC2, §tre traits de maniere conventionnelle. Le bloc BSC1 aura 
un traitement sp^cifique justement dans le but de recuperer des 
informations sur les modules de security qui ne sont plus connectes. 

Afln d'6viter de perdre les informations stockees dans la memoire du 
5 decodeur STB par le remplacement des donnees propres au nouveau 
module de s6curite SC2, le centre de gestlon dispose d'une commando 
pour d§clencher, dans le module de securite connects au decodeur, 
reparation de transfert des donn6es vers le decodeur. 

AInsI, lors d'un changement de module, le nouveau module est 
10 Inltlalement non habj|lt6 ^ transferer ses donnees et les donn6es 
contenues dans la m§molre M1 restent representatives du precedent 
module de securite. 

Le centre de gestlon va attendre que ces informations lui parviennent 
selon la methode decrite plus haut. Une fois ces informations traitees, le 
15 centre de gestlon envoie une commando pour autoriser le module de 
securite a transmettre ses informations vers le decodeur et ainsi 
renouveler le contenu de la m6molre M1 . 
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REVENDICATIONS 



1 . M6thode de stockage et de transmission d'informations gen6rees 
par un premier module de security connecte a une unite d'utilisateur. ce 
premier module de s6curite comprenant un identlfiant unique et des 
infomiatlons representatives de son fonctionnement. ce premier module 
pouvant etre remplac6 par un second module de securite. cette 
methode comprenant les etapes sulvantes: 

• determination des infomiations specifiques contenues dans le 
premier module de security destinies ^ la transmission, 

• transfert de ces informations dans I'unite d'utilisateur, 

• stockage de ces infomriations dans I'unite d'utilisateur. 

• remplacement du premier module de s6curite par le deuxldme 
module de securite, 

• . connexion de I'unite d'utilisateur sur un reseau de transmission, 
r initialisation d'une communication entre le second module de 
securite et un centre de gestion via I'unit6 d'utilisateur, 

• insertion par I'unite d'utilisateur. d'un bloc de donnees dans les blocs 
transmis par le second module, ce bloc comprenant I'identifiant du 
premier module et les informations specifiques au dit premier 
module. 

2. Methode de stockage et de transmission selon la revendication 1 . 
caracterisee en ce que le transfert des informations specifiques du 
module de securite est effectue a intervalle regulier. 

3. Methode de stockage et de transmission selon la revendication 1 , 
caracterisee en ce que le transfert des informations specifiques du' 
module de securite est effectue a chaque modification desdites 
informations. 




4. M^thode de stockage et de transmission selon les revendications 
1^3, caracterisee en ce que le transfert des informations specifiques 
est stopp6 apres le remplacement du premier module par le second 
module de s^curite. 

5. Methode de stockage et de transmission selon la revendication 4, 
caract^ris6 en ce que le transfert des informations est autorise des lors 
qu'une liaison r^ussie avec le centre de gestion a et6 realisee. 

6. Methode de stockage et de transmission selon la revendication 4, 
caraclerise en ce que le transfert des informations est autorls^ par une 
commande envoySe par le centre de gestion. 



• 
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Le but de la presents invention est de pouvoir recup6rer des 
informations specifiques S un module de securlte alors que ce dernier a 
ete remplac6 par un nouveau module dans une unite d'utilisateur 
connectee a un reseau de diffusion. 

Ce but est atteint par une methode de stockage et de transmission 
d'informations gener6es par un premier module de securite connects ^ 
une unite d'utilisateur. ce premier module de s6curite comprenant un 
identifiant unique et des infonnations representatives de son 
fonctionnement. ce premier module pouvant etre remplace par un 
second module de s§curite. cette methode comprenant les stapes 
suivantes: 

- determination des infomriations sp6clfiques contenues dans le premier 
module de s6curit6 destinees S la transmission, 

- transfert de ces informations dans I'unite d'utilisateur. 
■ stockage de ces informations dans I'ufsite d'utilisateur, 

- remplacement du premier module de securite par le deuxidme module 
de securite, 

- connexion de I'unite d'utilisateur sur un reseau de transmission, 

- Initialisation d'une communication entre le second module de security 
et un centre de gestion, 

- insertion par I'unite d'utilisateur, d'un bloc de donnees dans les blocs 
transmis par le second module, ce Dioc comprenant I'identifiant du 
premier module et les Informations specifiques audit premier module. 
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